论文部分内容阅读
摘 要:本文针对互联网所面临的安全威胁,简要介绍了几种防范方法与技术手段,最后描述了网络安全技术在企业中的应用。
关键词:网络安全;信息安全
由于信息系统本身的脆弱性和复杂性,大量的信息安全问题也伴随着计算机应用的拓展而不断涌现。病毒传播、黑客入侵、网络犯罪等安全事件的发生频率逐年升高,危害性也越来越大。如何构建企业级的信息安全体系,保护企业的利益和信息资产不受侵害,为企业发展和业务经营提供有力支撑,为用户提供可信的服务,已成为各部门当前迫切需要解决的问题。
1、信息安全技术
1.1 防病毒
计算机病毒的传播与危害影响非常大,特别是国际互联网的蓬勃发展,使计算机病毒的传播打破了地域和时间的限制,以其传播速度更快、扩散面更广、破坏性更强, 清除难度更大等特点, 在世界范围泛滥。随着计算机媒体的不断出现, 电子邮件、盗版光盘、缩文件、上载下载软件等已经取代软盘, 成为传播计算机病毒的主要途径,而且也使计算机病毒的寄宿和传播变得更加容易。世界上计算机病毒现已达5 万多种,并且还在以每月300 多种的速度增加,成为威胁企业信息安全的主要因素之一。
可从以下几方面进行病毒的防范:
(1)隔离法,计算机网络最突出的优点就是信息共享和传递,这一优点也给病毒提供了快速传播的条件,使病毒很容易传播到网络上的各种资源,若取消信息共享而采取隔离措施,可切断病毒的传播途径。但此方法是以牺牲网络的最大优点来换取,因此只能在发现病毒隐患时使用。
(2)分割法,将用户分割成不能互相访问的子集,由于信息只能在一定的区域中流动,因此建立一个防卫机制,病毒不会在子系统之间相互传染。
(3)选用高效的防病毒软件,利用防病毒软件进行计算机病毒的监测和清除是目前广泛采用的方法。
(4)及时升级防病毒软件,防病毒软件不同于其它应用软件,它不具备主动性,需要实时追踪新的病毒,因此要不断更新病毒样本库和扫引擎, 这样才能查, 杀新的病毒。
1.2 防火墙
防火墙(Firewall)技术是抵抗黑客入侵和防止未授权访问的最有效手段之一,也是目前网络系统实现网络安全策略应用最为广泛的工具之一。防火墙是设置在被保护网络和外部网络之间的一道屏障,以防止发生不可预测的、潜在破坏性的侵入,可有效地保证网络安全。它是指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合。它可通过监测、限制、更改跨越防火墙的数据流, 尽可能地对外部屏蔽网络内部的信息、结构和运行状况,以此来实现网络的安全保护。在逻辑上,防火墙是一个分离器,一个限制器,也是一个分析器,它有效地监控了内部网和Internet之间的活动,保证内部网络的安全。
1.3 网络入侵检测
随着网络技术的发展,网络环境变得越来越复杂, 网络攻击方式也不断翻新。对于网络安全来说,单纯的防火墙技术暴露出明显的不足和弱点,许多攻击(如DOS 攻击,会伪装成合法的数据流)可以绕过通常的防火墙,且防火墙因不具备实时入侵检测能力而对病毒束手无策。在这种情况下, 网络的入侵检测系统(Intrusion detection system, IDS)在网络的整个安全系统解决方案中就显示出极大作用。它可以弥补防火墙的不足, 为网络安全提供实时的入侵检测及采取相应的防护手段。一个合格的入侵检测系统能大大的简化管理员的工作, 保证网络安全的运行。
1.4 虚拟专用网(VPN)
虚拟专用网不是真的专用网络,但却能够实现专用网络的功能。虚拟专用网指的是依靠ISP(Internet服务提供商)和其它NSP(网络服务提供商),在公用网络中建立专用的数据通信网络的技术。在虚拟专用网中, 任意两个节点之间的连接并没有传统专网所需的端到端的物理链路,而是利用某种公众网的资源动态组成的。IETF 草案理解基于IP 的VPN 为:
“使用IP机制仿真出一个私有的广域网”,通过私有的隧道技术在公共数据网络上仿真一条点到点的专线技术。
1.5 数据加密技术
与防火墙技术相比,数据信息加密技术比较灵活, 更加适用于开放网络。数据加密主要用于对动态信息的保护。对动态数据的攻击分为主动攻击和被动攻击,我们注意到,对于主动攻击,虽无法避免,但却可以有效的检测(如IDS);而对于被动攻击,虽无法检测,但却可以避免,而实现这一切的基础就是数据加密技术。数据加密实质上是对以符号为基础的数据进行移位和置换的变换算法,这种变换是受称为密钥的符号串控制的,加密和解密算法通常是在密钥控制下进行的。完成加密和解密的算法称为密码体制。密码体制有对称密钥密码技术和非对称密钥密码技术。
1.6 身份认证技术
身份识别是用户向系统出示自己身份证明的身份证明过程,身份认证是系统查核用户身份证明的过程。这两项工作统称为身份验证。是判明和确认通信双方真实身份的两个重要环节。
1.7 访问控制
访问控制是提供信息安全保障的主要手段和安全機制, 被广泛地应用于防火墙、文件访问、VPN及物理安全等多个方面。访问控制是信息安全保障机制的核心内容,它是实现数据保密性和完整性机制的主要手段。访问控制是为了限制访问主体(或称为发起者,是一个主动的实体;如用户、进程、服务等),对访问客体(需要保护的资源)的访问权限,从而使计算机系统在合法范围内使用;访问控制机制决定用户及代表一定用户利益的程序能做什么,及做到什么程度。
2 网络安全技术在企业中的应用
企业网络安全是一个综合性的课题,涉及技术、管理、使用等许多方面,既包括网络本身的安全问题,也有物理的和逻辑的技术措施。只有通过明晰的安全策略、先进的技术措施以及高素质的网络管理人才构建一个由安全策略、防护、加密、备份、检测、响应所组成的中小企业网络安全体系,才能完整、实时地保证企业网络环境中信息的完整性和正确性。
2.1 典型的网络安全体系结构
无论网络是何种结构、复杂程序或用户多少,都可以抽象简化。防火墙将网络划分为三个部分:可信任的子网,DMZ区和外部网络。在DMZ区中,放置各种服务器允许外部网络的用户进行访问,又可以和内部网络进行隔离。在制定网络安全策略的时候从网络边界安全、内部网络安全、接入安全多方面多层次来考虑。
2.2 网络边界的信息安全
在内、外部网络实施隔离的是以防火墙为主的入侵防御体系。它可以通过分析进出网络的数据来保护内部网络。是保障数据和网络资源安全的强有力的手段。它可以实现以下三个功能:
(1)连接内部网络和外部网络;
(2)通过外部网络来连接不同的内部网络;
(3)保护内部网络数据的完整性和私有性。
在实际的策略制订时主要从三个方面来提高网络信息的安全性,即数据过滤、数据加密和访问控制。通过防火墙的安全规则进行数据过滤,通过对发往外部网络的数据进行加密来保护数据的私有性。访问控制限制访问内部网络的系统资源,限制对敏感数据的存取(读、写、执行)。而整个网络数据的传输安全可以分为:
(1)主机和防火墙之间的数据安全;
(2)防火墙之间的数据安全;
(3)主机和主机之间的数据安全,即发送数据者和接收数据者之间的安全。
2.3 内部网络的数据信息安全
在实现部门内部网络安全时主要从两方面来考虑:网络安全和主机安全。网路安全主要考虑网络上主机之间的访问控制,防止来自外部的入侵,保护网络上的数据在传输时不被篡改和泄露。主机安全是保护合法用户对授权资源的使用,防止非法用户对于系统资源的侵占和破坏。使得系统对网络的保护贯穿于网络层、传输层和应用层。在各个不同的层次中实施不同的安全策略。
网络层:通过对数据包头的分析,基于源地址、目的地址、源端口、目的端口和协议来实现访问控制。也可以通过工PSEC进行加密传输。
传输层:实现加密的传输。
应用层:实施严格的访问控制手段,安装杀毒软件并及时更新。
2.4 安全接入
虚拟专用网络(VPN)被定义为通过一个公共网络建立的一个临时的安全的连接,是一条穿越混乱的公共网络的安全、稳定的隧道,它是对企业内部网络的扩展。VPN可以帮助远程用户、企业的分支机构、合作伙伴企业的内部网络建立可信任的安全接入。它可以提供数据加密,以保证通过公网传输的信息即使被他人截获也不会泄露;信息认证和身份认证,保证信息的完整性、合法性,并能鉴别用户的身份;提供访问控制,不同的用户具有不同的权限。
3 结语
由于网络安全产品、计算机硬软件是发展的,病毒和黑客技术也在发展,所以网络安全是动态的,因此,网络和信息安全应是技术和管理的综合。企业除了采取一些技术安全措施外,还应针对内部用户进行网络安全教育,建立健全各种管理制度,对威胁和破坏企业信息和数据安全的行为严肃处理。同时加强网络和系统管理员队伍的建设和培训,加强网络系统和数据库的维护,及时弥补漏洞,监控来自企业外部的各种攻击和入侵行为,发现异常马上采取措施。定期对企业网和关键数据进行安全评估,并有针对性的制定安全防护策略、制定管理规章制度。
关键词:网络安全;信息安全
由于信息系统本身的脆弱性和复杂性,大量的信息安全问题也伴随着计算机应用的拓展而不断涌现。病毒传播、黑客入侵、网络犯罪等安全事件的发生频率逐年升高,危害性也越来越大。如何构建企业级的信息安全体系,保护企业的利益和信息资产不受侵害,为企业发展和业务经营提供有力支撑,为用户提供可信的服务,已成为各部门当前迫切需要解决的问题。
1、信息安全技术
1.1 防病毒
计算机病毒的传播与危害影响非常大,特别是国际互联网的蓬勃发展,使计算机病毒的传播打破了地域和时间的限制,以其传播速度更快、扩散面更广、破坏性更强, 清除难度更大等特点, 在世界范围泛滥。随着计算机媒体的不断出现, 电子邮件、盗版光盘、缩文件、上载下载软件等已经取代软盘, 成为传播计算机病毒的主要途径,而且也使计算机病毒的寄宿和传播变得更加容易。世界上计算机病毒现已达5 万多种,并且还在以每月300 多种的速度增加,成为威胁企业信息安全的主要因素之一。
可从以下几方面进行病毒的防范:
(1)隔离法,计算机网络最突出的优点就是信息共享和传递,这一优点也给病毒提供了快速传播的条件,使病毒很容易传播到网络上的各种资源,若取消信息共享而采取隔离措施,可切断病毒的传播途径。但此方法是以牺牲网络的最大优点来换取,因此只能在发现病毒隐患时使用。
(2)分割法,将用户分割成不能互相访问的子集,由于信息只能在一定的区域中流动,因此建立一个防卫机制,病毒不会在子系统之间相互传染。
(3)选用高效的防病毒软件,利用防病毒软件进行计算机病毒的监测和清除是目前广泛采用的方法。
(4)及时升级防病毒软件,防病毒软件不同于其它应用软件,它不具备主动性,需要实时追踪新的病毒,因此要不断更新病毒样本库和扫引擎, 这样才能查, 杀新的病毒。
1.2 防火墙
防火墙(Firewall)技术是抵抗黑客入侵和防止未授权访问的最有效手段之一,也是目前网络系统实现网络安全策略应用最为广泛的工具之一。防火墙是设置在被保护网络和外部网络之间的一道屏障,以防止发生不可预测的、潜在破坏性的侵入,可有效地保证网络安全。它是指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合。它可通过监测、限制、更改跨越防火墙的数据流, 尽可能地对外部屏蔽网络内部的信息、结构和运行状况,以此来实现网络的安全保护。在逻辑上,防火墙是一个分离器,一个限制器,也是一个分析器,它有效地监控了内部网和Internet之间的活动,保证内部网络的安全。
1.3 网络入侵检测
随着网络技术的发展,网络环境变得越来越复杂, 网络攻击方式也不断翻新。对于网络安全来说,单纯的防火墙技术暴露出明显的不足和弱点,许多攻击(如DOS 攻击,会伪装成合法的数据流)可以绕过通常的防火墙,且防火墙因不具备实时入侵检测能力而对病毒束手无策。在这种情况下, 网络的入侵检测系统(Intrusion detection system, IDS)在网络的整个安全系统解决方案中就显示出极大作用。它可以弥补防火墙的不足, 为网络安全提供实时的入侵检测及采取相应的防护手段。一个合格的入侵检测系统能大大的简化管理员的工作, 保证网络安全的运行。
1.4 虚拟专用网(VPN)
虚拟专用网不是真的专用网络,但却能够实现专用网络的功能。虚拟专用网指的是依靠ISP(Internet服务提供商)和其它NSP(网络服务提供商),在公用网络中建立专用的数据通信网络的技术。在虚拟专用网中, 任意两个节点之间的连接并没有传统专网所需的端到端的物理链路,而是利用某种公众网的资源动态组成的。IETF 草案理解基于IP 的VPN 为:
“使用IP机制仿真出一个私有的广域网”,通过私有的隧道技术在公共数据网络上仿真一条点到点的专线技术。
1.5 数据加密技术
与防火墙技术相比,数据信息加密技术比较灵活, 更加适用于开放网络。数据加密主要用于对动态信息的保护。对动态数据的攻击分为主动攻击和被动攻击,我们注意到,对于主动攻击,虽无法避免,但却可以有效的检测(如IDS);而对于被动攻击,虽无法检测,但却可以避免,而实现这一切的基础就是数据加密技术。数据加密实质上是对以符号为基础的数据进行移位和置换的变换算法,这种变换是受称为密钥的符号串控制的,加密和解密算法通常是在密钥控制下进行的。完成加密和解密的算法称为密码体制。密码体制有对称密钥密码技术和非对称密钥密码技术。
1.6 身份认证技术
身份识别是用户向系统出示自己身份证明的身份证明过程,身份认证是系统查核用户身份证明的过程。这两项工作统称为身份验证。是判明和确认通信双方真实身份的两个重要环节。
1.7 访问控制
访问控制是提供信息安全保障的主要手段和安全機制, 被广泛地应用于防火墙、文件访问、VPN及物理安全等多个方面。访问控制是信息安全保障机制的核心内容,它是实现数据保密性和完整性机制的主要手段。访问控制是为了限制访问主体(或称为发起者,是一个主动的实体;如用户、进程、服务等),对访问客体(需要保护的资源)的访问权限,从而使计算机系统在合法范围内使用;访问控制机制决定用户及代表一定用户利益的程序能做什么,及做到什么程度。
2 网络安全技术在企业中的应用
企业网络安全是一个综合性的课题,涉及技术、管理、使用等许多方面,既包括网络本身的安全问题,也有物理的和逻辑的技术措施。只有通过明晰的安全策略、先进的技术措施以及高素质的网络管理人才构建一个由安全策略、防护、加密、备份、检测、响应所组成的中小企业网络安全体系,才能完整、实时地保证企业网络环境中信息的完整性和正确性。
2.1 典型的网络安全体系结构
无论网络是何种结构、复杂程序或用户多少,都可以抽象简化。防火墙将网络划分为三个部分:可信任的子网,DMZ区和外部网络。在DMZ区中,放置各种服务器允许外部网络的用户进行访问,又可以和内部网络进行隔离。在制定网络安全策略的时候从网络边界安全、内部网络安全、接入安全多方面多层次来考虑。
2.2 网络边界的信息安全
在内、外部网络实施隔离的是以防火墙为主的入侵防御体系。它可以通过分析进出网络的数据来保护内部网络。是保障数据和网络资源安全的强有力的手段。它可以实现以下三个功能:
(1)连接内部网络和外部网络;
(2)通过外部网络来连接不同的内部网络;
(3)保护内部网络数据的完整性和私有性。
在实际的策略制订时主要从三个方面来提高网络信息的安全性,即数据过滤、数据加密和访问控制。通过防火墙的安全规则进行数据过滤,通过对发往外部网络的数据进行加密来保护数据的私有性。访问控制限制访问内部网络的系统资源,限制对敏感数据的存取(读、写、执行)。而整个网络数据的传输安全可以分为:
(1)主机和防火墙之间的数据安全;
(2)防火墙之间的数据安全;
(3)主机和主机之间的数据安全,即发送数据者和接收数据者之间的安全。
2.3 内部网络的数据信息安全
在实现部门内部网络安全时主要从两方面来考虑:网络安全和主机安全。网路安全主要考虑网络上主机之间的访问控制,防止来自外部的入侵,保护网络上的数据在传输时不被篡改和泄露。主机安全是保护合法用户对授权资源的使用,防止非法用户对于系统资源的侵占和破坏。使得系统对网络的保护贯穿于网络层、传输层和应用层。在各个不同的层次中实施不同的安全策略。
网络层:通过对数据包头的分析,基于源地址、目的地址、源端口、目的端口和协议来实现访问控制。也可以通过工PSEC进行加密传输。
传输层:实现加密的传输。
应用层:实施严格的访问控制手段,安装杀毒软件并及时更新。
2.4 安全接入
虚拟专用网络(VPN)被定义为通过一个公共网络建立的一个临时的安全的连接,是一条穿越混乱的公共网络的安全、稳定的隧道,它是对企业内部网络的扩展。VPN可以帮助远程用户、企业的分支机构、合作伙伴企业的内部网络建立可信任的安全接入。它可以提供数据加密,以保证通过公网传输的信息即使被他人截获也不会泄露;信息认证和身份认证,保证信息的完整性、合法性,并能鉴别用户的身份;提供访问控制,不同的用户具有不同的权限。
3 结语
由于网络安全产品、计算机硬软件是发展的,病毒和黑客技术也在发展,所以网络安全是动态的,因此,网络和信息安全应是技术和管理的综合。企业除了采取一些技术安全措施外,还应针对内部用户进行网络安全教育,建立健全各种管理制度,对威胁和破坏企业信息和数据安全的行为严肃处理。同时加强网络和系统管理员队伍的建设和培训,加强网络系统和数据库的维护,及时弥补漏洞,监控来自企业外部的各种攻击和入侵行为,发现异常马上采取措施。定期对企业网和关键数据进行安全评估,并有针对性的制定安全防护策略、制定管理规章制度。